El modo de cifrado de host se activa automáticamente cuando un usuario realiza una tarea de cifrado si el usuario tiene privilegios suficientes. Una vez activado el modo de cifrado de host, se cifran todos los volcados de núcleos para evitar la divulgación de información confidencial entre el personal de soporte. Si ya no se usa el cifrado de máquinas virtuales con un host ESXi, se puede desactivar el modo de cifrado.

Después de activar el modo de cifrado para un host ESXi, es posible que tenga que desactivarlo. Por ejemplo, es posible que tenga que desactivar el modo de cifrado para generar un paquete de soporte de ESXi (mediante el comando vm-support). Utilizar el conmutador del modo de cifrado de host (Host > Configurar > Perfil de seguridad > Editar modo de cifrado de host) no funciona cuando existe material de clave en el host.

Puede utilizar la API para desactivar el modo de cifrado de host si invoca el método de API CryptoManagerHostDisable.

Los modos de cifrado, o los estados, definidos para un host ESXi son los siguientes:

  • pendingIncapable: el host está desactivado para el cifrado; es decir, el host no puede realizar operaciones de cifrado de máquinas virtuales de vSphere.
  • incapaz (incapable): el host no es seguro para recibir material confidencial.
  • preparado (prepared): el host está preparado para recibir material confidencial, pero aún no tiene una clave de host configurada.
  • seguro (safe): el host es seguro para el cifrado (activado) y tiene un conjunto de claves de host, es decir, las operaciones de cifrado de máquinas virtuales de vSphere son posibles.

Después de invocar CryptoManagerHostDisable en un host, el estado de cifrado del host cambia de la siguiente manera:

  • Si el estado de cifrado original del host es incapaz o preparado, el estado de cifrado del host cambia a incapaz.
  • Si el estado de cifrado del host original es seguro, el estado de cifrado del host cambia a pendingIncapable.
  • Si el estado de cifrado del host es pendingIncapable, el estado de cifrado del host sigue como pendingIncapable.

Esta tarea muestra cómo se desactiva el modo de cifrado del host mediante el explorador de objetos administrados (Managed Object Browser, MOB) de vCenter Server. Para obtener más información sobre el uso de la API, consulte la documentación de vSphere Web Services API en https://developer.vmware.com/apis/968/vsphere.

Procedimiento

  1. Inicie sesión en vCenter Server como administrador.
  2. Elimine del registro todas las máquinas virtuales cifradas del host ESXi cuyo modo de cifrado desea desactivar.
  3. Acceda al MOB en vCenter Server.
    https://vcenter_server/mob
  4. Invoque el método CryptoManagerHostDisable en un host.
    1. En el nombre de contenido, haga clic en content.
    2. En rootFolder, haga clic en group-D1 (Datacenters).
    3. En childEntity, haga clic en el centro de datos adecuado.
    4. En hostFolder, haga clic en el host correspondiente.
    5. En childEntity, haga clic en el clúster correspondiente.
    6. En host, haga clic en el host adecuado.
    7. En configManager, haga clic en configManager.
    8. En cryptoManager, haga clic en CryptoManagerHost-number.
    9. Haga clic en CryptoManagerHostDisable.
      El estado de cifrado del host cambia a pendingIncapable o incapaz, en función de su estado de cifrado original.
  5. Repita el paso 4 para otros hosts en los que desee desactivar el modo de cifrado.
  6. Reinicie los hosts.

Resultados

Una vez desactivado el modo de cifrado de host, no podrá realizar operaciones de cifrado, como agregar máquinas virtuales cifradas, a menos que vuelva a activar el modo de cifrado de host.

Nota: Después de reiniciar un host ESXi en el que desactivó el modo de cifrado, si el estado de cifrado del host era pendingIncapable originalmente, el estado de cifrado del host seguirá siendo pendingIncapable. Para volver a activar el modo de cifrado de host, vuelva a acceder al MOB de vCenter Server e invoque el método de API ConfigureCryptoKey. Al volver a activar el modo de cifrado de host, utilice el identificador de clave de host original si el estado de cifrado del host es pendingIncapable.